CVE-2025-20281およびCVE-2025-20282の脆弱性：Cisco ISEとISE-PICにおける重大なRCE欠陥によりルートアクセスが可能に

夏の暑さが増す中、サイバー脅威の領域でも重要な脆弱性が次々と明らかになり、緊張感が高まっています。CVE-2025-49144（Notepad++の脆弱性）が公開された直後、Cisco Identity Services Engine（ISE）およびISE Passive Identity Connector（ISE-PIC）に複数の重大な欠陥が発見されました。CVE-2025-20281およびCVE-2025-20282として追跡されているこれらの新たな脆弱性により、認証を受けていない攻撃者が対象システムにrootアクセスできるようになり、企業ネットワーク全体へのリスクが高まっています。

脆弱性の悪用は、現代の脅威環境において最も危険で持続的な攻撃手法の1つであり、特に公共部門や重要インフラを含む業界で広く使用されている製品が対象となる場合、深刻さが増します。攻撃者は、広く普及したプラットフォームのセキュリティギャップを狙い、初期アクセスや重要システムの制御を獲得しようとする傾向が強まっています。

Verizonの2025年データ侵害調査レポート（DBIR）によると、初期アクセス手段として脆弱性を悪用するケースが前年比で34％増加し、全侵害の20％を占めています。さらに、Google傘下のMandiantの調査では、過去5年連続で最も多く観測された初期感染経路が脆弱性の悪用であったと報告されています。侵入の出発点が特定されたケースのうち、33％がソフトウェア脆弱性の悪用に起因しています。これらの傾向は、特に基幹インフラを担う高価値システムに対して、迅速なパッチ適用、継続的な脆弱性管理、そして積極的な検出戦略の重要性を裏付けています。

RCE攻撃は、未修正の脆弱性から発生し、セキュリティチームにとって重大な課題となります。Cisco製品に影響を与えるCVE-2025-20281およびCVE-2025-20282という2件の重大なRCE脆弱性の登場により、認証やユーザー操作を必要とせずに、完全なリモート制御やシステム侵害が可能となるリスクが高まり、世界中の組織に深刻な脅威を与えています。

SOC Primeプラットフォームに登録すると、リアルタイムのCTIとキュレーション済み検出コンテンツを通じて、あらゆる脅威に先んじて対処するためのグローバルなアクティブ脅威フィードにアクセスできます。セキュリティチームは「CVE」タグが付けられたコンテキスト強化済みのSigmaルールを含むすべての検出ロジックにアクセス可能です。さらに、AI駆動の検出エンジニアリング、脅威ハンティング、先進的な脅威検出を支援する完全な製品群が提供されています。

すべてのSigmaルールは、複数のSIEM、EDR、データレイク形式に対応しており、MITRE ATT&CK®に準拠して脅威調査を支援します。各ルールには関連するメタデータが付与されています。下のExplore Detectionsボタンをクリックすると、「CVE」タグでフィルタされた脆弱性に関連する検出スタックにアクセスできます。

Explore Detections

また、セキュリティエンジニアは、Uncoder AIを活用することで、検出エンジニアリング全体の効率とカバレッジを高めることができます。Uncoder AIでは、IOCを即座にハンティングクエリへ変換し、ライブ脅威インテリジェンスから直接検出ロジックを構築し、SOC対応の検出コンテンツをAIプロンプトで自動生成できます。また、構文検証、ロジック最適化、自動Attack Flow可視化、MITRE ATT&CKテクニック/サブテクニックの付加によるルール強化など、多岐にわたる機能を備えています。

CVE-2025-20281およびCVE-2025-20282の分析

Ciscoは最近、ISEおよびISE-PICプラットフォームに影響を与える2つの未認証RCE脆弱性に関するセキュリティアドバイザリを公開しました。

CVE-2025-20281とCVE-2025-20282は、それぞれCVSSスコア9.8および10.0（最高深刻度）と評価されています。前者はISEおよびISE-PICのバージョン3.3および3.4に、後者はバージョン3.4のみに影響を与えます。

CVE-2025-20281は、公開APIでのユーザー入力検証が不十分であることに起因し、未認証のリモート攻撃者が細工したリクエストを送信して、任意のOSコマンドをroot権限で実行する可能性があります。CVE-2025-20282は、内部APIでのファイル検証不足により、未認証の攻撃者が保護されたディレクトリに任意のファイルをアップロード・実行できる状態となり、同様にrootアクセスが可能となります。ベンダーによれば、これらの脆弱性が悪用されると、悪意のあるファイルの保存・実行や特権昇格が可能になります。

現在のところ、回避策は提供されていません。CVE-2025-20281およびCVE-2025-20282の緩和策としては、該当パッチの適用が推奨されています。CVE-2025-20281はISE/ISE-PIC 3.3 Patch 6および3.4 Patch 2で修正され、CVE-2025-20282はISE/ISE-PIC 3.4 Patch 2で対応されています。

これらのセキュリティ問題は、主に大企業、政府機関、大学、サービスプロバイダーのインフラで使用されている製品に影響を与えるため、認証やユーザー操作なしでリモート侵害されるリスクが非常に高くなっています。

現時点では、Ciscoによると本脆弱性の積極的な悪用は確認されていませんが、すべてのユーザーに対し、上記の修正済みバージョン（またはそれ以上）への速やかなアップグレードが強く推奨されます。対象製品が広範な業界で使用されていること、そして認証不要であることから、リモート侵害のリスクは極めて深刻です。防御側は迅速かつ積極的な対策を講じ、可能な限り露出を最小化する必要があります。SOC PrimeのAI・自動化・脅威インテリジェンスを統合した製品スイートを活用することで、既知脆弱性を狙う重大脅威への先手を打ち、予測されるサイバー攻撃のリスクを軽減できます。